Accordo sul trattamento dei dati (DPA)

Il presente DPA è concluso tra DivetIQ (il "Responsabile del trattamento"), con sede legale a 2810 N Church St, STE 88941, Wilmington, DE 19802, United States, e l'entità Cliente che ha sottoscritto un Ordine o ha altrimenti contrattato l'utilizzo dei Servizi DivetIQ (il "Titolare del trattamento").

Il Titolare determina le finalità e i mezzi del trattamento dei Dati personali; DivetIQ tratta i Dati personali esclusivamente sulla base di istruzioni documentate del Titolare, come ulteriormente descritto in questo DPA.

"Dati personali", "trattamento", "interessato", "titolare del trattamento", "responsabile del trattamento" e "autorità di controllo" hanno il significato loro attribuito dal GDPR. "Dati del Cliente" indica i dati, inclusi i Dati personali, inviati dal Titolare o per suo conto ai Servizi DivetIQ. "Sub-responsabile" indica qualsiasi terza parte incaricata da DivetIQ di trattare Dati personali per conto del Titolare.

DivetIQ tratterà i Dati personali per conto del Titolare unicamente per fornire i Servizi descritti nell'Accordo, incluso il supporto e la risposta agli incidenti di sicurezza. Oggetto, durata, natura e finalità del trattamento, tipologie di Dati personali e categorie di interessati sono descritti nell'Allegato I.

DivetIQ tratterà i Dati personali solo sulla base di istruzioni documentate del Titolare, salvo che la legge applicabile a DivetIQ disponga diversamente. Se DivetIQ ritiene che un'istruzione violi il GDPR o altre leggi sulla protezione dei dati, ne informerà tempestivamente il Titolare.

DivetIQ garantisce che il personale autorizzato a trattare Dati personali si sia impegnato alla riservatezza o sia soggetto a un adeguato obbligo legale di riservatezza. L'accesso ai Dati personali è limitato in base al principio del need-to-know.

DivetIQ adotta misure tecniche e organizzative adeguate a garantire un livello di sicurezza proporzionato al rischio, tra cui:

• Cifratura dei Dati personali a riposo in AES-256 e in transito in TLS 1.3.
• Gestione della sicurezza delle informazioni allineata a ISO 27001 e SOC 2 Type II.
• Controllo degli accessi basato sui ruoli con estensioni per attributi a livello di riga, colonna e campo.
• Log di audit immutabili e in append-only, conservati secondo i requisiti di legge.
• Penetration test, scansione delle vulnerabilità, WAF e protezione DDoS.
• Business continuity, disaster recovery e backup testati regolarmente.
• Un processo di risposta agli incidenti documentato con copertura on-call 24/7.

Una versione aggiornata delle misure tecniche e organizzative di DivetIQ è riportata nell'Allegato II ed è disponibile anche nel Customer Trust Center.

Il Titolare conferisce a DivetIQ un'autorizzazione generale a coinvolgere Sub-responsabili. DivetIQ mantiene un elenco aggiornato dei Sub-responsabili nel Customer Trust Center e notificherà eventuali modifiche previste con almeno trenta (30) giorni di anticipo rispetto alla loro efficacia, dando al Titolare la possibilità di opporsi per ragionevoli motivi di protezione dei dati.

DivetIQ impone a ciascun Sub-responsabile obblighi di protezione dei dati non meno protettivi di quelli previsti dal presente DPA e resta responsabile verso il Titolare dell'adempimento delle obbligazioni di ciascun Sub-responsabile.

DivetIQ fornisce strumenti operativi che consentono al Titolare di rispondere alle richieste degli interessati in materia di accesso, rettifica, cancellazione, limitazione, portabilità e opposizione, incluso il supporto a DSAR, diritto all'oblio e gestione del consenso. Se DivetIQ riceve una richiesta direttamente da un interessato, la inoltrerà tempestivamente al Titolare e non risponderà se non su istruzione del Titolare.

DivetIQ notificherà al Titolare senza ingiustificato ritardo, e comunque entro settantadue (72) ore, dopo essere venuta a conoscenza di una violazione di Dati personali che riguardi i Dati del Cliente. La notifica includerà le informazioni ragionevolmente necessarie affinché il Titolare possa adempiere ai propri obblighi di notifica ai sensi della legge applicabile.

Considerata la natura del trattamento e le informazioni a disposizione di DivetIQ, DivetIQ fornirà ragionevole assistenza al Titolare nello svolgimento delle valutazioni d'impatto sulla protezione dei dati e nella consultazione delle autorità di controllo ove richiesto dagli Articoli 35 e 36 del GDPR.

Quando i Dati personali sono trasferiti al di fuori dello Spazio Economico Europeo, del Regno Unito o della Svizzera verso un paese non oggetto di una decisione di adeguatezza, il trasferimento è regolato dalle Clausole Contrattuali Standard della Commissione europea (Modulo Due: da Titolare a Responsabile), dall'Addendum britannico per i trasferimenti internazionali e da meccanismi equivalenti, integrati da ulteriori misure tecniche e organizzative.

Su richiesta, il Cliente può selezionare una residenza dei dati limitata all'UE.

DivetIQ mette a disposizione del Titolare tutte le informazioni ragionevolmente necessarie a dimostrare la conformità al presente DPA. Su richiesta e in regime di riservatezza, DivetIQ fornisce relazioni di audit annuali di terze parti (inclusi i certificati SOC 2 Type II e ISO 27001). Ove richiesto da norme imperative, il Titolare può effettuare un audit non più di una volta all'anno, con ragionevole preavviso e in orario lavorativo, senza interferire in modo irragionevole con le operazioni di DivetIQ.

Alla cessazione o scadenza dell'Accordo, DivetIQ restituirà o cancellerà, a scelta del Titolare, tutti i Dati personali entro trenta (30) giorni, salvo che la legge applicabile ne richieda la conservazione. Il Titolare prende atto che le copie di backup possono essere conservate per un periodo limitato secondo il calendario di conservazione documentato di DivetIQ e sono soggette alle stesse tutele del presente DPA.

I Dati del Cliente non vengono mai utilizzati per addestrare modelli di IA condivisi o di terze parti. Le funzionalità di IA che operano sui Dati del Cliente sono distribuite nel tenant del Titolare o eseguono inferenza stateless contro un contesto per-tenant non conservato a fini di addestramento. Quando viene utilizzato un processo decisionale automatizzato che produce effetti giuridici o similmente significativi, il Titolare è responsabile dell'attuazione delle garanzie richieste dall'Articolo 22 GDPR e da altre leggi applicabili (incluso l'AI Act dell'UE).

Oggetto: fornitura della piattaforma headless DivetIQ e dei Servizi correlati.

Durata: per la durata dell'Accordo e per ogni periodo post-cessazione necessario alla restituzione o cancellazione dei Dati personali.

Natura e finalità: hosting, archiviazione, trasmissione, analytics e operazioni assistite da IA sui Dati del Cliente, secondo le istruzioni del Titolare tramite la configurazione dei Servizi.

Categorie di interessati: dipendenti, collaboratori, clienti, fornitori, candidati e altre persone del Titolare i cui dati siano caricati nei Servizi o trattati tramite essi.

Categorie di Dati personali: identificativi, dati di contatto, dati lavorativi, dati finanziari e di acquisto, dati relativi ai clienti e altre categorie che il Titolare scelga di trattare tramite i Servizi.

DivetIQ adotta le misure di sicurezza descritte nella Sezione 6 (Misure di sicurezza) del presente DPA. Una descrizione dettagliata e aggiornata è mantenuta nel Customer Trust Center e viene aggiornata con l'evolversi della nostra postura di sicurezza. Le riduzioni materiali di tali misure saranno notificate in anticipo.

Domande sul presente DPA possono essere inviate a dpo@divetiq.com o per posta a 2810 N Church St, STE 88941, Wilmington, DE 19802, United States.